La verificación en dos pasos de Instagram no es segura, y ya prueban otro sistema

La verificación en dos pasos es uno de los métodos más seguros que tenemos para acceder a páginas web. Sin embargo, esta opción no es 100% segura, ya que es posible interceptar los SMS, o incluso se puede duplicar la SIM para que un atacante pueda generar una nueva con nuestro número y resetear tu contraseña, que es lo que está pasando en Instagram. Por ello, la compañía está creando un nuevo método de verificación.

Instagram va a incluir compatibilidad con Google Authenticator para ser más seguro

Así lo ha confirmado la compañía, que va a implementar un sistema de verificación más seguro a través de apps como Google Authenticator o Duo. Estas apps generan un código único que se introduce cuando vamos a loguearnos, y no puede ser generado en otro teléfono en el caso de que un atacante consiga crear una nueva tarjeta SIM con nuestro número de teléfono.

En las últimas APK de Instagram ya está empezando a aparecer un prototipo de este nuevo sistema de verificación en dos pasos, según ha desvelado TechCrunch tras analizar el código de la app. En las capturas podemos ver cómo hay un nuevo método de verificación en dos pasos, pudiendo elegir entre SMS y app de verificación.

Es curioso que Instagram no tenía ningún tipo de verificación en dos pasos hasta 2016, cuando ya contaba con 400 millones de usuarios, y fue principalmente debido a la presión de los medios tras haber ocurrido una serie de hackeos. Las cuentas de Instagram con miles de seguidores son muy demandadas para hacer campañas de marketing, por lo que su seguridad es primordial.

Con este método será casi imposible robar una cuenta de Instagram

Al introducir este sistema de seguridad, los hackers tuvieron que volverse más ingeniosos. Tan sólo tenían que llamar al operador de una persona y, mediante ingeniería social, convencerles de que son la persona que quieren suplantar mediante técnicas de ingeniería social, así como incluso sobornar a un empleado de la compañía.

Instagram-Two-Factor-Instructions-Authenticator-App

Así, se genera una nueva SIM con tu número de teléfono que va a acabar en su propiedad, pudiendo robar tu email y acceder a cualquier página en la que tengas una cuenta. Alguno de los perfiles que han intentado hackear son algunos con palabras cortas o sencillas, como @Rainbow. La cuenta de @t en Instagram se vendió por 40.000 dólares en bitcoins en la Dark Web recientemente.

Desde hace varios años se sabe que la verificación en dos pasos a través de SMS no es segura. Que Instagram haya empezado a no depender exclusivamente de ella es una buena noticia, y ayudará a que otras redes sociales puedan sumarse a través de Google Authenticator. También los operadores tienen que introducir sistemas para hacer más difícil que se puedan portar números a nuevas tarjetas SIM, así como más métodos de seguridad para verificar si la persona que está intentando cambiar la SIM es el verdadero dueño. Gracias a todo esto, no será necesario dar nuestro número de teléfono a empresas como Facebook.

Fuente: TechCrunch | adslzone